Renovação de certificado Let's Encrypt
renovação lets encrypt · acme ssl renew · verificar certbot auto renew
Como certificados de 90 dias Let's Encrypt renovam, ACME HTTP-01 vs DNS-01, verificar renovação com SSL checker e corrigir jobs auto-renew falhos.
Por Equipe de rede DN01
Let's Encrypt emite certificados DV gratuitos válidos por 90 dias, assumindo renovação automatizada. Acompanhamento manual falha rápido em escala — trate sucesso ACME como job monitorado, não nota de calendário.
Após cada deploy de renovação, confirme hostname público live com SSL Certificate Checker e veja notAfter avançar ~90 dias.
Tipos de challenge ACME
HTTP-01: cliente ACME serve token em `http://hostname/.well-known/acme-challenge/...` — porta 80 acessível da internet necessária.
DNS-01: TXT em `_acme-challenge.example.com` — funciona para wildcards e quando HTTP bloqueado; automatize via API DNS quando possível.
TLS-ALPN-01: menos comum, usado na porta 443 com negociação ALPN específica.
Quando a renovação falha
Verifique logs certbot ou ingress controller por 403/timeout na URL do challenge.
Confirme que registros CAA permitem `letsencrypt.org` se CAA publicado.
Rate limits: pedidos falhos ou certs duplicados demais por semana — aguarde ou use staging endpoint ao debugar.
Após correção, rode SSL Checker — certs edge CDN obsoletos podem cachear expiração antiga até purge.
Perguntas frequentes
- Quantos dias antes de expirar renovar?
Automatize aos 30 dias; alerta aos 14. LE recomenda renovar com 1/3 de vida restante (~30 dias).
- Wildcards precisam DNS-01?
Sim para clientes ACME padrão — emissão wildcard exige validação DNS-01.
- Renovação muda fingerprint do certificado?
Normalmente sim — cert novo, serial novo. Apps com pinning devem atualizar pins ou evitar pin de certs LE públicos.